search.xml

<?xml version="1.0" encoding="utf-8"?>
<search>
  <entry>
    <title><![CDATA[cuckoo搭建之virtualbox]]></title>
    <url>%2F2019%2F04%2F20%2Fcuckoo-vbox%2F</url>
    <content type="text"><![CDATA[cuckoo搭建之virtualbox搭建完以后敲的，有误留言，谢谢。 初始环境准备 系统版本：Ubuntu 18.4 Python：2.7 virtualbox 6.0.0 宿主机配置 主机依赖库 1234567891011121314apt-get updateapt-get install -y python python-pip python-dev libffi-dev libssl-devapt-get install -y python-virtualenv python-setuptoolsapt-get install -y libjpeg-dev zlib1g-dev swig# 如果使用web交互界面，需要安装mongodb，ubuntu 12.04安装mongodb有问题，不能简单安装，需要参考官网文档进行安装 （可以不安装）#apt-get install -y mongodb# 默认使用sqlite3，推荐使用PostgreSQL，需要配置（可以不安装）#apt-get install -y postgresql libpq-devapt-get install -y volatilityapt-get install -y swig#Tcpdumpapt-get install -y tcpdump apparmor-utils libcap2-binaa-disable /usr/sbin/tcpdumpsetcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump python 依赖 12345678#特征扫描pip install yara-python==3.5.0#cuckoo 独立python env环境pip install virtualenv#测试，能导入，不报错就可以了pythonimport yara virtualbox 1234# virtualbox: http://download.virtualbox.org/virtualbox (我下载的6.0.0)dpkg -i virtualbox-xxxxxx.deb#上边如果出错的话，先apt-get remove virtualbox-6.0apt-get install virtualbox-6.0 虚拟环境配置123#创建独立用户，给cuckoo和virtualboxadduser cuckoousermod -a -G vboxusers cuckoo 1234567#cuckoo环境配置cd /optvirtualenv pyenv. pyenv/bin/activate(pyenv)$ pip install -U pip setuptools(pyenv)$ pip install -U cuckoo(pyenv)$ cuckoo -d 12345678910111213141516171819202122232425262728293031323334353637383940414243#建议虚拟机安装时，用GUI界面，命令行吃不消...#虚拟机安装 Win7x32 win764 winxp msdn下载，然后用vbox安装虚拟机#虚拟机安装 略~略~略~#虚拟机配置 -- 作.用命令行安装的，起来以后vbox的vnc管理地址是127.0.0.1:9000#宿主机连接vnc：-N 不连接控制台 ssh -L 9000:192.168.0.x:9000 cuckoo@192.168.0.x -N#宿主机随便找个vnc连接的软件，我用的chrome插件#正式虚拟机配置#安装 Python 2.7#安装 Java 8#安装 PIL(Python截屏库)#安装 Chrome、pdf、winrar、Firefox、office 2003等#关闭 Windows更新#关闭 防火墙#配置静态IP 192.168.56.0/24 #配置自动登陆 &lt;USERNAME&gt; &lt;PSSWORD&gt; 填自己的reg add "hklm\software\Microsoft\Windows NT\CurrentVersion\WinLogon" /v DefaultUserName /d &lt;USERNAME&gt; /t REG_SZ /freg add "hklm\software\Microsoft\Windows NT\CurrentVersion\WinLogon" /v DefaultPassword /d &lt;PASSWORD&gt; /t REG_SZ /freg add "hklm\software\Microsoft\Windows NT\CurrentVersion\WinLogon" /v AutoAdminLogon /d 1 /t REG_SZ /freg add "hklm\system\CurrentControlSet\Control\TerminalServer" /v AllowRemoteRPC /d 0x01 /t REG_DWORD /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v LocalAccountTokenFilterPolicy /d 0x01 /t REG_DWORD /f# 开启guest用户net user guest /active:yes# 将/home/cuckoo/.cuckoo/agent/agent.py 拷贝至虚拟机启动项 C:\Documents and Settings\All Users\「开始」菜单\程序\启动\agent.pyw# agent.py 改为agent.pyw 据说会无窗口，爱改不改# python agent.py , netstat -ano | findstr 8000 #有就ok了#vboxmanage hostonlyif create （第一次要先创建hostonly虚拟网卡 vboxnet0）vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1 --netmask 255.255.255.0 #vboxmanage hostonlyif ipconfig vboxnet0 --dhcp dhcp也可以vboxmanage modifyvm win7x86 --nic1 hostonly --hostonlyadapter1 vboxnet0vboxmanage modifyvm win7x64 --nic1 hostonly --hostonlyadapter1 vboxnet0vboxmanage modifyvm winxp --nic1 hostonly --hostonlyadapter1 vboxnet0#做完以上主机配置，软件安装，网络配置，然后打快照VBoxManage snapshot "win7x86" take "win7x86_snapshot" --pauseVBoxManage snapshot "win7x64" take "win7x64_snapshot" --pauseVBoxManage snapshot "winxp" take "winxp_snapshot" --pause Cuckoo配置 修改Cuckoo配置文件，路径：/home/cuckoo/.cuckoo/conf/virtualbox.conf 1234567891011121314151617machines = win7x86,win7x64,winxp[win7x86]label = win7x86platform = windowsip = 192.168.56.10snapshot = win7x86_snapshot[win7x64]label = win7x64platform = windowsip = 192.168.56.11snapshot = win7x64_snapshot[winxp]label = winxpplatform = windowsip = 192.168.56.12snapshot = winxp_snapshot 修改conf/reporting.conf文件，配置数据库，我用了mongodb 12[mongodb]enabled = yes 安装特征库 12(pyenv)$cuckoo community(pyenv)$ cuckoo community --file cuckoo_master.tar.gz 配置防火墙(抄来的) 123456789iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/24 -j MASQUERADEiptables -P FORWARD DROPiptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A FORWARD -s 192.168.56.0/24 -j ACCEPTiptables -A FORWARD -s 192.168.56.0/24 -d 192.168.56.0/24 -j ACCEPTiptables -A FORWARD -j LOG # 主机转发开启sysctl -w net.ipv4.ip_forward=1sysctl -p /etc/sysctl.conf 测试cuckoo 1234567#新窗口cuckoo -d#打开cuckoo自带web服务，通过主机ip访问cuckoo web runserver 0.0.0.0:80#上传文件测试无误后，修改配置文件conf/cuckoo.conf #后台运行cuckooprocess_results = off 可能会踩到的一些坑 环境一般都是复制，粘贴执行，就完事了，建议采用debian、Ubuntu【除12.04】，其他环境可能会有问题 宿主机，如果不是对linux特别了解，不要采用mini版或server无桌面版 虚拟机，软件安装，网络配置，全部搞完了再打快照【ps：本人打了无数个快照，这样不好】 cuckoo配置，cuckoo很强大，一般不会出问题，一定要仔细检测配置，出错了大多数都是配置文件有问题 以上所有的宿主机命令，不要用ROOT用户执行,用sudo命令执行 参考资料搭建参考： http://www.fualan.com/article/31/ 骚年来看官方文档： https://cuckoo.sh/docs/installation/index.html 旧软件安装 http://www.oldapps.com/ 转载请注明来源：mu0gua.github.io]]></content>
      <categories>
        <category>病毒分析</category>
      </categories>
      <tags>
        <tag>cuckoo</tag>
        <tag>virtualbox</tag>
        <tag>病毒分析</tag>
        <tag>sanbox</tag>
        <tag>沙箱</tag>
      </tags>
  </entry>
  <entry>
    <title><![CDATA[cuckoo搭建之KVM]]></title>
    <url>%2F2019%2F04%2F20%2Fcuckoo-kvm%2F</url>
    <content type="text"><![CDATA[cuckoo搭建之KVM 搭建完以后敲的，有误留言，谢谢。* 初始环境准备 系统版本：Ubuntu 18.4 Python：2.7 KVM 宿主机环境安装123#检查是否支持 egrep -c '(vmx|svm)' /proc/cpuinfo 虽然无diao用#安装依赖以及kvmsudo apt-get install qemu-kvm libvirt-bin virtinst bridge-utils cpu-checker 1234567891011121314151617181920apt-get updateapt-get install -y python python-pip python-dev libffi-dev libssl-devapt-get install -y python-virtualenv python-setuptoolsapt-get install -y libjpeg-dev zlib1g-dev swig# 如果使用web交互界面，需要安装mongodb，ubuntu 12.04安装mongodb有问题，不能简单安装，需要参考官网文档进行安装 （可以不安装）#apt-get install -y mongodb# 默认使用sqlite3，推荐使用PostgreSQL，需要配置（可以不安装）#apt-get install -y postgresql libpq-devapt-get install -y volatilityapt-get install -y swig#Tcpdumpapt-get install -y tcpdump apparmor-utils libcap2-binaa-disable /usr/sbin/tcpdumpsetcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump#特征扫描pip install yara-python==3.5.0#cuckoo 独立python env环境pip install virtualenv#测试，能导入，不报错就可以了#python import yara 宿主机环境配置123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687#KVM 硬盘创建#-f 硬盘格式 存放位置 大小qemu-img create -f qcow2 /data/vm/win7x64.qcow2 20G#硬盘格式转换#qemu-img convert -f raw -O qcow2 test.raw test.raw.qcow2#网络配置创建virsh net-define /etc/libvirt/qemu/networks/default.xml #添加网络配置virsh net-start default # 启动网络配置virsh net-autostart default # 自启动，否则重启后就没有了virsh net-destroy default # 删除网络配置virsh net-undefine default # 取消网络配置service libvirtd restart # 重新启动kvm网络管理服务#常用命令virsh list --all # 显示所有虚拟机virsh dumpxml vm # 配置文件查看virsh edit vm # 配置文件编辑 ctrl +o ,ctrl + x 保存nano编辑方式virsh suspend vm # 挂起virsh resume vm # 恢复virsh start vm # 启动virsh reboot vm # 重启virsh shutdown vm # 正常关机virsh destroy vm # 强制关机virsh undefine vm # 删除名称为vm的虚拟机virsh autostart vm # 自启动virsh autostart --disable vm # 关闭自启动#以下快照方式只可以关机使用，并且快照不能为cuckoo所工作qemu-img snapshot -c #创建快照 快照名 磁盘路径qemu-img snapshot -l #显示所有快照 磁盘路径qemu-img snapshot -a #恢复到指定快照 快照名 磁盘路径qemu-img snapshot -d #删除快照 快照名 磁盘路径# 创建快照时用以下方式，可开机创建，并且时cuckoo所用的virsh snapshot-create-as #创建快照 磁盘路径 快照名 快照说明virsh snapshot-list #显示所有快照 虚拟机名称virsh snapshot-revert --domain #恢复到指定快照 虚拟机名称 快照名virsh snapshot-delete #删除快照 虚拟机名称 快照名 virsh snapshot-delete --domain xx --snapshotname xx #删除快照 虚拟机名称 快照名 #克隆kvm虚拟机virsh clone -o node99 -n node11 -f /mnt/data/vhost/node11.img -m 00:00:00:80:00:11 -m 00:00:00:10:00:11net-autostart 自动开始网络net-create 从一个 XML 文件创建一个网络net-define 定义一个永久网络或修改一个xml文件中定义的持久网络net-destroy 销毁（停止）网络net-dhcp-leases 打印给定网络的租赁信息net-dumpxml XML 中的网络信息net-edit 为网络编辑 XML 配置net-event Network Eventsnet-info 网络信息net-list 列出网络net-name 把一个网络UUID 转换为网络名net-start 开始一个(以前定义的)不活跃的网络net-undefine 取消（删除）定义一个永久网络net-update 更新现有网络配置的部分net-uuid 把一个网络名转换为网络UUID#KVM虚拟机安装，运行完等待10s，ctrl + c就可以了sudo virt-install \--virt-type=kvm \--name win7x64 \--ram 1024 \--vcpus=1 \--os-variant=win7 \--virt-type=kvm \--hvm \--cdrom=/data/image/cn_windows_7_professional_with_sp1_x64_dvd_u_677031.iso \--network=bridge:virbr0,model=virtio \--graphics vnc \--disk path=/data/vm/win7x64.qcow2# 安装完以后一定要通过virsh edit win7x64配置 network,之后一定先关机再启动，直接重启无效&lt;interface type='bridge'&gt; &lt;mac address='52:54:00:73:ce:69'/&gt; &lt;source bridge='virbr0'/&gt; &lt;model type='virtio'/&gt; &lt;address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/&gt;&lt;/interface&gt;#改为&lt;interface type='bridge'&gt; &lt;mac address='52:54:00:73:ce:69'/&gt; &lt;source bridge='virbr0'/&gt; &lt;model type='e1000'/&gt; &lt;address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/&gt;&lt;/interface&gt; 虚拟机配置12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849#虚拟机配置 -- 作.用命令行安装的，起来以后kvm的vnc管理地址是127.0.0.1:5900ssh -L 9000:192.168.0.x:9000 cuckoo@192.168.0.x -N#宿主机随便找个vnc连接的软件，我用的chrome插件#正式虚拟机配置#安装 Python 2.7#安装 Java 8#安装 PIL(Python截屏库)#安装 Chrome、pdf、winrar、Firefox、office 2003等#关闭 Windows更新#关闭 防火墙#关闭 UAC#关闭软件更新，chrome、java、firefox、office#启用administrator、guestnet user guest /active:yesnet user administrator /active:yes#设置自动登陆administrator#配置静态IP 与宿主机vir0br0 ip段一致 我的是192.168.122.0/24 #配置自动登陆 &lt;USERNAME&gt; &lt;PSSWORD&gt; 填自己的#control userpasswords2reg add "hklm\software\Microsoft\Windows NT\CurrentVersion\WinLogon" /v DefaultUserName /d &lt;USERNAME&gt; /t REG_SZ /freg add "hklm\software\Microsoft\Windows NT\CurrentVersion\WinLogon" /v DefaultPassword /d &lt;PSSWORD&gt; /t REG_SZ /freg add "hklm\software\Microsoft\Windows NT\CurrentVersion\WinLogon" /v AutoAdminLogon /d 1 /t REG_SZ /freg add "hklm\system\CurrentControlSet\Control\TerminalServer" /v AllowRemoteRPC /d 0x01 /t REG_DWORD /freg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v LocalAccountTokenFilterPolicy /d 0x01 /t REG_DWORD /f# 将/home/cuckoo/.cuckoo/agent/agent.py 拷贝至虚拟机启动项 C:\Documents and Settings\All Users\「开始」菜单\程序\启动\agent.pyw# agent.py 改为agent.pyw 据说会无窗口，爱改不改# python agent.py , netstat -ano | findstr 8000 #有就ok了#网络配置iptables -t nat -A POSTROUTING -o ens33 -s 192.168.122.0/24 -j MASQUERADEiptables -P FORWARD DROPiptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A FORWARD -s 192.168.122.0/24 -j ACCEPTiptables -A FORWARD -s 192.168.122.0/24 -d 192.168.122.0/24 -j ACCEPTiptables -A FORWARD -j LOG # 主机转发开启sysctl -w net.ipv4.ip_forward=1sysctl -p /etc/sysctl.conf# 打快照qemu-img snapshot -c cuckoo /data/vm/win7x64.qcow2` Cuckoo配置123456789101112131415#配置默认虚拟机为kvmvim /home/cuckoo/.cuckoo/conf/cuckoo.conf#machinery = virtualbox 改为#machinery = kvm. /data/pyenv/bin/active#新窗口#执行失败的话，安装这个 pip install libvirt-python(pyenv)$ cuckoo -d#打开cuckoo自带web服务，通过主机ip访问(pyenv)$ cuckoo web runserver 0.0.0.0:80#上传文件测试无误后，修改配置文件conf/cuckoo.conf #后台运行cuckoo#process_results = off 可能会踩到的一些坑 想要通过virsh shutdown关机，必须在虚拟机中安装acpid acpid-sysvinit，不是宿主机！ 宿主机，如果不是对linux特别了解，不要采用mini版或server无桌面版 虚拟机，软件安装，网络配置，全部搞完了再打快照【ps：本人打了无数个快照，这样不好】 cuckoo配置，cuckoo很强大，一般不会出问题，一定要仔细检测配置，出错了大多数都是配置文件有问题 以上所有的宿主机命令，不要用ROOT用户执行,用sudo命令执行 Cuckoo 配置文件中提到的快照是用virsh snapshot 创建的，不是qemu-img创建的 参考资料搭建参考： http://www.linux-kvm.org/page/Documents 后续配置 https://www.secpulse.com/archives/74909.html https://www.secpulse.com/archives/75180.html 克隆KVM https://blog.csdn.net/yzy1103203312/article/details/81067326 史上最强说明（有能力就按照官方文档走吧）： https://cuckoo.sh/docs/installation/index.html 旧软件安装 http://www.oldapps.com/ 转载请注明来源：mu0gua.github.io]]></content>
      <categories>
        <category>病毒分析</category>
      </categories>
      <tags>
        <tag>cuckoo</tag>
        <tag>病毒分析</tag>
        <tag>sanbox</tag>
        <tag>沙箱</tag>
        <tag>kvm</tag>
      </tags>
  </entry>
</search>